组件设计原则

  • 组件内聚原则
  • 复用发布等同原则
  • 共同封闭原则
  • 共同复用原则
  • 组件耦合原则
  • 无循环依赖原则
  • 稳定依赖原则
  • 稳定抽象原则

安全架构

XSS攻击

XSS攻击的原理:通过给定异常的输入,黑客可以在你的浏览器中,插入一段恶意的 JavaScript 脚本,从而窃取你的隐私信息或者仿冒你进行操作。

反射型XSS:黑客诱导你点击了某个链接,这个链接提供的服务,可能就是上述的搜索功能。网页在解析到链接的参数后,执行正常的搜索逻辑,但是因为漏洞,网页中被填入了黑客定义的脚本。使得用户的浏览器,最终执行的是黑客的脚本。

基于DOM的XSS:

持久型XSS

SQL注入攻击

CSRF/SSRF:

SSRF

其他需要关注的攻击和漏洞:

  • errorcode 错误回显
  • HTML注释
  • 文件上传
  • 路径遍历

web应用防火墙

吐个槽,日文。。

信息加密及秘钥安全管理

  • 单向散列加密
  • 对称加密
  • 非对称加密

反垃圾邮件

贝叶斯分类算法

布隆过滤器

规则引擎

机器学习

高可用

引发故障的原因

  • 硬件故障
  • 软件BUG
  • 系统发布
  • 并发压力
  • 网络攻击
  • 外部灾害

高可用系统架构

  • 解耦
  • 隔离
  • 异步
  • 备份
  • 失效转移 数据库主主失效转移、负载均衡失效转移 确认失效转态 设计无状态服务
  • 幂等
  • 事务补偿
  • 重试
  • 熔断 断路器
  • 限流 计数器(固定窗口)算法 计数器(滑动窗口)算法 漏桶算法 令牌桶算法
  • 自适应限流
  • 降级
  • 异地多活
多种数据同步方式

高可用运维

发布:

自动化测试

自动化部署

代码版本控制

  • 中心式协同工作流
  • 功能分支协同工作流
  • gitflow协同工作流

灰度发布

网站运行监控

监控数据采集

用户行为日志收集

服务器性能监控

业务运行数据报告

监控管理